Contents 0. 導入 : リスクとは? 1. リスクマネジメントの国際標準 - ISO (JIS Q 31000), ISO Guide 73 (JIS Q 0073) 他 2. 情報セキュリティマネジメント (ISM) の国際標準とリスクマネジメント - ISO/IEC 270

Transcription

1 2011 年度第 2 回 IT リスク学研究会 リスクマネジメントに関連する国際標準化動向 2011/07/09 株式会社日立製作所情報 通信システム社経営戦略室事業開発部 相羽律子

2 Contents 0. 導入 : リスクとは? 1. リスクマネジメントの国際標準 - ISO (JIS Q 31000), ISO Guide 73 (JIS Q 0073) 他 2. 情報セキュリティマネジメント (ISM) の国際標準とリスクマネジメント - ISO/IEC 27001(JIS Q 27001), ISO/IEC 他 3. 社会セキュリティマネジメント (SSM) の国際標準とリスクマネジメント - ISO DIS 22301, ISO FDIS 他参考 : 標準化組織と規格の種類及び策定手順 参考文献

3 0 導入 : リスクとは?

4 0. 導入 : リスクとは?(1) 例 1 情報漏洩が発生 訴訟を起こされた結果, 多額の補償金を支払った 信頼失墜により業績が悪化した 例 2 地震や水害が発生 社屋が倒壊した 被災後, 一定期間業務が継続できなった これらは顕在化により損失のみを発生するリスクの例 例 3 新規ビジネスの開始 新規ビジネスの開発に大きなコストがかかった もし, ビジネスが成功すれば, コストを回収しさらに利益を得られる もし, ビジネスが失敗すれば, 大きな損害がでる これは利益または損害のいずれかを発生するリスクの例 3

5 0. 導入 : リスクとは?(2) 純粋リスク 顕在化により損失のみを発生するリスク 例 : 災害, 事故, 従業員による丌正行為, コンピュータウィルスによる被害 保険が想定するリスク 情報セキュリティにおいても, 主に純粋リスクが想定される 投機的リスク 顕在化により利益または損失を発生するリスク 例 : 投資のリスク, 為替リスク, 景気変動のリスク 金融分野で扱われてきた リスクと呼ばずに機会と呼び, リスク ( 純粋リスク ) と区別する場合もある ポジティブリスク, ネガティブリスクという呼び方もある しかし明確な定義は無い ポジティブリスク = 投機的リスク ( 機会 )? ポジティブリスク = 利益を発生するリスク? 4

6 0. 導入 : リスクとは?(3) JIS Q 0073:2010(ISO Guide 73:2009) によるリスクの定義 定義目的に対して丌確さが不える影響 effect of uncertainty on objectives. 注記 1 影響とは 期待されていることからのよい方向および / または悪い方向への偏差 注記 2 諸目標は 例えば財務 安全衛生 環境に関する到達目標など さまざまな側面を持ち得るものであり 戦略 組織全体 プロジェクト 製品 プロセスなどさまざまなレベルに適用できる 注記 3 リスクは 起こり得る諸事象 結果 もしくはこれらの組み合わせ ならびにこれらが諸目標の達成にどのように影響し得るかということと関連付けて特徴付けられることが多い 注記 4 リスクは ある事象の結果または周辺環境の変化の結果と起こりやすさとの組み合わせという観点から表わされることが多い 注記 5 不確実性とは, イベント, その結果及び見込み関連する情報の知識や理解が欠落 ( 部分的なものも含む ) している状態 この定義には, 純粋リスクも投機的リスクも含まれる 5

7 0. 導入 : リスクとは?(4) JIS TR Q 0008:2003(ISO/IEC Guide 73:2002) によるリスクの定義 ( 旧バージョン ) 定義事象の発生確率と事象の結果の組み合わせ combination of the probability of an event and its consequence. 備考 1 用語 リスク は 一般に少なくとも好ましくない結果を得る可能性がある場合にだけ使われる 備考 2 ある場合には リスクは期待した成果 又は事象からの偏差の可能性から生じる 備考 3 安全に関する事項については ISO/IEC Guide51:1999 を参照のこと 特に純粋リスクだけには限定されない しかし, 備考 1 と 3 は, ネガティブな結果の可能性をもつリスクを主として考えることを示している 2009 年版になり,( 注記も含め ) ネガティブ, ポジティブ両面のリスクを区別無く定義する内容となった 6

8 0. 導入 : リスクとは?(5) ISO/IEC 27000:2009 による情報セキュリティリスクの定義 ( 仮訳 ) 定義脅威が資産または資産グループの脆弱性を利用し, その結果, 組織に害を及ぼす可能性 potential that a threat will exploit a vulnerability of an asset or group of assets and thereby cause harm to the organization 純粋リスクだけに限定 また, 資産, 脅威, 脆弱性などの要素を用いてリスクを定義 資産, 脅威, および脆弱性の定義 資産組織にとって価値のあるもの脅威情報システム又は組織に損害をもたらす望まれないインシデントの潜在的原因脆弱性脅威に活用される資産又は管理策の弱点 (JIS Q 27001:2006) 7

9 0. 導入 : リスクとは?(6) ISO/IEC 27005:2011 によるリスクの定義 ( 仮訳 ) 定義目的に対して丌確さが不える影響 effect of uncertainty on objectives. 注記 1 影響とは 期待されていることからのよい方向および / または悪い方向への偏差 注記 2 諸目標は 例えば財務 安全衛生 環境に関する到達目標など さまざまな側面を持ち得るものであり 戦略 組織全体 プロジェクト 製品 プロセスなどさまざまなレベルに適用できる 注記 3 リスクは 起こり得る諸事象 結果 もしくはこれらの組み合わせ ならびにこれらが諸目標の達成にどのように影響し得るかということと関連付けて特徴付けられることが多い 注記 4 リスクは ある事象の結果または周辺環境の変化の結果と起こりやすさとの組み合わせという観点から表わされることが多い 注記 5 不確実性とは, イベント, その結果及び見込み関連する情報の知識や理解が欠落 ( 部分的なものも含む ) している状態 注記 6 情報セキュリティリスクは, 脅威が資産または資産グループの脆弱性を利用し, その結果, 組織に害を及ぼす可能性のこと Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization. Guide 73 の定義に注記 6 として の情報セキュリティリスクの定義を追加 8

10 1 リスクマネジメントの国際標準 - ISO (JIS Q 31000), ISO Guide 73 (JIS Q 0073) 他

11 1. リスクマネジメントの国際標準 (1) ISO ISO 31000:2009 Risk management - Principles and guidelines 2005 年 6 月 ISO/TMB *1 /WG on Risk Management( 議長 : 豪州, 事務局 : 日本 ) が設置され,ISO として開発作業を開始 2007 年 4 月に に改番された 2009 年 11 月初版発行 2010 年 9 月 JIS 化 JIS Q 31000:2010 リスクマネジメント - 原則及び指針 全ての組織 全てのリスクに適用出来るトップレベルの文書として, 全てのリスクを管理するための汎用的プロセス, そのプロセスを効果的に運用するための枠組み, 及びリスクマネジメントの原則を示している 認証規格ではない 用語は ISO Guide73:2009(JIS Q 0073:2010) を参照 *1 ISO/TMB: 技術管理評議会 (Technical Management Board ) のことで,TC の設置, 新技術分野の業務の必要性判断と計画作成などの専門業務のマネジメント全般に責任を持つ 10

12 1. リスクマネジメントの国際標準 (2) 序文 1. 適用範囲 2. 用語及び定義 3. 原則 4. 枠組み 4.1 一般 4.2 指令及びコミットメント 4.3 リスクの運用管理のための枠組みの設計 4.4 リスクマネジメントの実践 4.5 枠組みのモニタリング及びレビュー 4.6 枠組みの継続的改善 5. プロセス 5.1 一般 5.2 コミュニケーション及び協議 5.3 組織の状況の確定 5.4 リスクアセスメント 5.5 リスク対応 5.6 モニタリング及びレビュー 5.7 リスクマネジメントプロセスの記録作成 図 1 JIS Q 31000:2010 の目次 出展 :JIS Q 31000:

13 1. リスクマネジメントの国際標準 (3) a) 価値を創造する b) 組織のすべてのプロセスにおいて丌可欠な部分 c) 意思決定の一部 d) 丌確かさに明確に対処する e) 体系的かつ組織的で, 且つ時宜を得ている f) 利用可能な最善の情報に基づく g) 組織に合わせて作られている h) 人的及び文化的要素を考慮にいれる i) 透明性があり, かつ包含的である j) 動的で, 繰り返し行なわれ, 変化に対応する k) 組織の継続的改善及び強化を促進する 枠組みの継続的改善 指令およびコミットメント リスクの運用管理のための枠組みの設計 枠組みのモニタリング及びレビュー リスクマネジメントの実施 コミュニケーション及び協議 組織の情況の確定リスクアセスメントリスク特定リスク分析リスク評価リスク対応 モニタリング及びレビュー 原則枠組みプロセス 図 2 リスクマネジメントの原則, 枠組み及びプロセスの関係 出展 :JIS Q 31000:

14 1. リスクマネジメントの国際標準 (4) TR Q 0008:2003 (ISO/IEC Guide 73:2002) によるリスク対応オプション : A) リスクの最適化 B) リスクの保有 C) リスクの回避 D) リスクの移転 ポイント : リスクの最適化が細分化 移転がなくなり, 共有に JIS Q 31000:2010 (ISO 31000:2009) によるリスク対応オプション : a) リスクを生じさせる活動を開始又は継続しないことと決定することによって リスクを回避する b) ある機会を追求するために そのリスクを取るまたは増加させる c) リスク源を除去する d) 起こりやすさを変える e) 結果を変える f) 一つまたはそれ以上の他者とそのリスクを共有する ( 契約及びリスクファイナンシングを含む ) g) 情報に基づいた意思決定によって そのリスクを保有する 図 3 改訂に伴うリスク対応オプションの変更内容 13

15 1. リスクマネジメントの国際標準 (5) ISO Guide 73 ISO Guide73:2009 Risk management - Vocabulary 2002 年初版発行 ( ISO/IEC Guide 73 Risk management - Vocabulary - Guidelines for use in standards ) 2009 年 11 月に改訂版発行 改訂は,ISO と合わせて ISO/TMB/WG on Risk Management( リスクマネジメント WG) が実施 2010 年 9 月 JIS 化 JIS Q 0073:2010 リスクマネジメント - 用語 リスクの定義が 事象の発生確率と事象の結果の組み合わせ から 目標に対して丌確さが不える影響 に変更された リスクマネジメントの一般領域を網羅する形で 50 の用語が, 相関関係に基づき分類整理され, 定義されている 14

16 1. リスクマネジメントの国際標準 (6) 1. リスクに関する用語 3.4 リスクアセスメントに関する用語 リスクに対する頻度 1.1 リスク リスクアセスメント リスク選好 リスク許容度 2. リスクマネジメントに関する用語 3.5 リスク特定に関する用語 リスク忌避 リスク集約 リスク受容 2.1 リスクマネジメント リスクマネジメントの枠組み リスクマネジメント方針 リスクマネジメント計画 3. リスクマネジメントプロセスに関する用語 リスク特定 リスク記述 リスク源 事象 ハザード リスク所有者 3.1 リスクマネジメントプロセス 3.6 リスク分析に関する用語 3.2 リスクコミュニケーション及び協議に関する用語 コミュニケーション及び協議 ステークホルダ リスク認知 リスク分析 起こりやすさ ばく ( 曝 ) 露 結果 発生確率 頻度 3.8 リスク対応に関する用語 リスク対応 管理策 リスク回避 リスク共有 リスクファイナンシング リスク保有 残留リスク 適応力 3.3 組織の状況に関する用語 ぜい ( 脆 ) 弱性 モニタリング リスクマトリックス リスクレベル 組織の状況の確定 外部状況 内部状況 リスク基準 3.7 リスク評価に関する用語 リスク評価 図 4 JIS Q 0073:2010 の用語一覧 ( 目次順 ) モニタリング及び測定に関する用語 レビュー リスク報告 リスク登録簿 リスク特徴 リスクマネジメント監査 15

17 1. リスクマネジメントの国際標準 (7) IEC/ISO IEC/ISO 31010:2009 Risk management - Risk assessment techniques 2009 年 12 月発行 IEC/TC56( ディペンダビリティ ) が開発 リスクアセスメントの手法について纏めたガイドライン規格 認証規格ではない ISO のサポートする位置づけの文書 ISO を適用する場合に, 参照すべき規格とされている 単なる手法の列挙ではなく, リスクアセスメント技法のタイプ分け, リスクアセスメントを実行する場合の技法の選択などについても述べている ISO 31004( 策定中 ) 規格化検討が決定し, 開発のためのプロジェクトコミッティ ISO/PC262 (Risk management) が 2011 年に設置された ISO 実践のため指針として,Risk management - Guidance for the implementation of ISO を規格化予定 詳細未定 16

18 1. リスクマネジメントの国際標準 (8) 国内規格との関係 JIS Q 2001( 廃止 ) JIS Q 2001:2001 リスクマネジメントシステム構築のための指針 1995 年の阪神 淡路大震災を契機に危機管理システム開発の検討が開始, その後, 危機管理からリスクマネジメントへと適用範囲の概念が拡大され本規格となった 2001 年初版発行 2006 年定期見直しでそのまま継続と決定されたが,ISO の発行及び ISO/IEC Guide 73 の改訂に伴い廃止 TR Q 0008( 廃止 ) TR Q 0008:2003 リスクマネジメント - 用語 - 規格において使用するための指針 2003 年に発行された初版 ISO/IEC Guide73 の JIS 化規格 2006 年 2 月 1 日を以って有効期限切れにより廃止 17

19 1. リスクマネジメントの国際標準 (9) 関連するその他の取組み ( 参考 ) マネジメントシステム規格の整合性確保への取組み ISO のマネジメントシステム規格の整合性を確保するために関連する TC 等で構成される ISO/TMB/TAG13-JTCG( 合同技術調整グループ ) を設置, 2006 年から活動を開始 新 MSS(Management System Standards) の開発として, マネジメントシステムに共通して適用する構造, テキスト及び用語を開発中 検討中の内容は, 現在新規開発中または改訂中のいくつかのマネジメント規格において並行して適用を検討中 (ISO/IEC WD 27001,ISO DIS などで適用を検討中 ) 18

20 2 情報セキュリティマネジメント (ISM) の国際標準とリスクマネジメント - ISO/IEC 27001(JIS Q 27001), ISO/IEC 他

21 2. ISMの国際標準とリスクマネジメント (1) ISO/IEC ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements 2005 年 10 月 15 日に初版発行 2006 年 5 月 JIS 化 JIS Q 27001:2006 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 現在,ISO/IEC/JTC1 SC27/WG1 にて, 改定作業中 (CD) マネジメントシステムのひとつとして,ISO/TMB/TAG13-JTCG の新 MSS 共通フォーマットへの適合を検討中 ISO/IEC 認証制度における認証基準であり, リスクマネジメントに関する要求事項が示されている 用語は ISO Guide73:2009(JIS Q 0073:2010) を参照 初版は, BS7799 Part2:2002 *3 をベースに作成された *3 BS7799 Part2:2002 -Information security management systems-specification with guidance for use: 情報セキュリティマネジメントシステム - 仕様及び利用の手引 英国規格協会の発行した英国規格 ISO/IE 27001:2005 の発行に伴い廃止された 20

22 2. ISMの国際標準とリスクマネジメント (2) JIS Q 27001:2005 目次 0. 序文 1. 適用範囲 2. 引用規格 3. 用語及び定義 4. 情報セキュリティマネシ メントシステム 5. 経営陣の責任 6.ISMS の内部監査 7.ISMS のマネシ メントレヒ ュー 8.ISMS の改善 組織に ISMS を構築するための要求事項が記述されている 箇条 4 で PDCA に基づく ISMS 構築の全般的要求事項が示され, 続く過剰 5~8 でトピック毎により詳細な要求事項を示している リスクマネジメントに関する要求事項は, ここ ( 箇条 4~8) で示されている 附属書 A 管理目的と管理策 (133 項目 ) 附属書 B OECD 原則とこの国際規格附属書 C ISO9001:2000,ISO14001:2004 とこの国際規格の比較参考文献 箇条 4~8 の要求事項で要求されているリスクアセスメント及びリスク対応の結果に基づいて, 組織ごとに選択して実行する事項 選択した管理目的及び管理策はその組織にとっての要求事項になる 図 5 JIS Q の構成概要 21

23 2. ISMの国際標準とリスクマネジメント (3) 27001のリスクマネジメントに関する要求事項概要 (1)( 箇条 4より ) 簡略化のためJIS Q 27001:2006の表現を一部変更しています b) ISMS 基本方針の定義 ISMS の確立及び維持をする 組織の戦略的なリスクマネジメントの状況と調和をとる リスクを評価するに当たっての機軸を確立する [4.2.1 c) 参照 ] c) リスクアセスメントに対する組織の取組み方の定義 ISMS 情報セキュリティ 法令及び規制の要求事項に適したリスクアセスメントの方法の特定 比較可能で かつ 再現可能な結果を生み出すリスクアセスメントの方法, 及びリスク受容基準の設定 d) リスクの特定 資産 ( 又は資産グループ ) 及び管理責任者の特定 資産 ( 又は資産グループ ) に対する脅威の特定 脅威 ( 又は資産グループ ) がつけ込むかもしれないぜい弱性の特定 リスクは組織が保護すべき資産 ( 又は資産グループ ) に対して特定, 分析され, 評価される 機密性 完全性及び可用性の喪失が資産 ( 又は資産グループ ) に及ぼす影響の特定 22

24 2. ISMの国際標準とリスクマネジメント (4) のリスクマネジメントに関する要求事項概要 (2)( 箇条 4 より ) e) リスクの分析 評価 セキュリティ障害に起因すると予想される, 資産 ( 又は資産グループ ) の機密性 完全性又は可用性の喪失の結果を考慮した, 事業的影響のアセスメントの実施 脅威, ぜい弱性, 情報資産に関連する影響, 既に実施している管理策の観点から, セキュリティ障害などの現実的な発生可能性についてアセスメントを実施 リスクレベルの算出 リスク受容基準を用いてリスクを受容できるか対応が必要か判断する f) リスク対応のための選択肢 ( 適切な管理策の適用, 受容, 回避, 移転 ) を特定し 評価する g) リスク対応のための管理目的及び管理策を選択する h) 残留リスクについて経営陣の承認を得る 簡略化のため JIS Q 27001:2006 の表現を一部変更しています リスクアセスメント, 対応の結果を根拠に具体的なセキュリティ管理内容が requirements として決定される ( 組織毎に異なる内容 ) 23

25 2. ISMの国際標準とリスクマネジメント (5) ISO/IEC ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary 2009 年 4 月 30 日に初版発行 ISO/IEC シリーズ規格の概要, シリーズ規格において共通して使用される用語などについて規定 マーケティング用及び教育用の文書としての性格を持ち, 次のサイトで無償で配布されている (ISO のサイトでは有償配布 ) 通常の ISO 規格の有効期限は 5 年で, これ毎に見直しを行なうが,ISO/IEC は, シリーズ規格の概要や用語について記載し, 他規格から参照されるため, 期限を待たず早期改訂することが提案され, 推進されている 現在改訂作業中 (WD) リスクマネジメントに関する用語も ISO/IEC Guide 73:2002 を参照しつつ, 本シリーズ規格に独自のものは, 個別に定義されている 24

26 2. ISMの国際標準とリスクマネジメント (6) 情報セキュリティに関連する用語 2.2 責任追跡性 2.5 認証 2.6 真正性 2.7 可用性 2.9 機密性 2.19 情報セキュリティ 2.25 完全性 2.27 否認防止 2.33 信頼性 マネジメントに関連する用語 2.8 事業継続 2.12 是正処置 2.13 有効性 2.14 効率 2.16 指針 2.23 情報セキュリティマネジメントシステム (ISMS) 2.26 マネジメントシステム 2.28 基本方針 2.29 予防処置 2.31 プロセス 情報セキュリティリスクに関連する用語 2.1 アクセス制御 2.3 資産 2.4 攻撃 2.10 管理策 2.11 管理目的 2.15 事象 2.17 影響 2.18 情報資産 2.20 情報セキュリティ事象 2.21 情報セキュリティインシデント 2.22 情報セキュリティインシデント管理 2.24 情報セキュリティリスク 2.34 リスク 2.35 リスク受容 図 6 ISO/IEC 27000:2009 の用語一覧 2.36 リスク分析 2.37 リスクアセスメント 2.38 リスクコミュニケーション 2.39 リスク基準 2.40 リスクの算定 2.41 リスク評価 2.42 リスクマネジメント 2.43 リスク対応 2.45 脅威 2.46 脆弱性 文書化に関連する用語 2.30 手順 2.32 記録 2.44 適用宣言書 の用語は,Annex B (informative) で上記の 4 つにカテゴライズされている 25

27 2. ISMの国際標準とリスクマネジメント (7) ISO/IEC ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management 2008 年 6 月 19 日に初版発行 2011 年 5 月 19 日改訂版発行 ISO/IEC 及び に基づき, リスクマネジメントアプローチに基づく情報セキュリティの確実な実装を支援するガイダンス文書 ISO/IEC TR 及び 4:(GMITS) を統合し,ISO/IEC (MICTS-2) に改訂中に,ISO/IEC ファミリー規格化に伴い改番 一般的リスクマネジメントに関する用語は ISO Guide73:2009(JIS Q 0073:2010) を参照 2011 年に発行された改訂版は,ISO 31000:2009 及び Guide 73:2009 の発行に対応するもの ISO/IEC の改訂版発行にあわせて再度改訂される予定 26

28 2. ISMの国際標準とリスクマネジメント (8) コミュニケーション及び協議 組織の情況の確定 リスクアセスメント リスク分析 リスク特定 リスク分析 リスク評価 リスク決定時点 1 No アセスメントの十分性 Yes リスク決定時点 2 リスク対応の十分性 リスク対応 Yes No リスク受容 <2008 年版 > モニタリング及びレビュー 変更 コミュニケーション及び協議 組織の情況の確定 リスクアセスメント リスク特定 リスク分析 リスク評価 リスク対応 モニタリング及びレビュー ISO のプロセスと同じになった <2011 年版 > 図 のリスクマネジメントプロセス ( 仮訳 ) 27

29 2. ISMの国際標準とリスクマネジメント (9) 序文 1. 適用範囲 2. 引用規格 3. 用語及び定義 4. 規格の構成 5. 規格の背景 6. 情報セキュリティリスクマネジメントプロセスの概要 7. 組織の状況の確定 7.1 一般的考察 7.2 基本評価基準 リスクマネジメントアプローチ,7.2.2 リスク評価基準,7.2.3 影響 (Impact) 基準,7.2.4 リスク受容基準 7.3 範囲と境界 7.4 情報セキュリティリスクマネジメントのための組織 8. 情報セキュリティリスクアセスメント 8.1 一般記述 8.2 リスクの特定 序文,8.2.2 資産の特定,8.2.3 脅威の特定, 既存の管理策の特定,8.2.5 脆弱性の特定, 結果の特定 8.3 リスク分析 リスク分析方法論,8.3.2 結果の分析, インシデントの発生可能性の分析, リスクレベルの決定 8.4 リスク評価 9. 情報セキュリティリスク対応 9.1 一般記述 9.2 リスクの修正 9.3 リスクの保有 9.4 リスクの回避 9.5 リスクの共有 10. 情報セキュリティリスクの受容 11. 情報セキュリティリスクコミュニケーション及び協議 12 情報セキュリティリスクの監視及びレビュー 12.1 リスク要因の監視及びレビュー 12.2 リスクマネジメントの監視, レビュー及び改善 附属書 A ( 参考 ) 情報セキュリティマネジメントプロセスの適用範囲及び境界の定義附属書 B ( 参考 ) 資産の特定, 評価及び影響分析附属書 C ( 参考 ) 典型的な脅威の例附属書 D ( 参考 ) 脆弱性及び脆弱性分析手法附属書 E ( 参考 ) 情報セキュリティリスクアセスメントの取り組み方附属書 F ( 参考 ) リスク修正における制約附属書 G ( 参考 ) ISO/IEC 27005:2008 及び ISO/IEC 間の定義の差参考文献 図 8 ISO/IEC の目次 ( 仮訳 ) 28

30 2. ISMの国際標準とリスクマネジメント (10) 現状の問題点 : ファミリー規格の中で概念と用語に丌整合が生じている ISO Guide73 ISO ISO/IEC ~ 初版発行改訂版発行リスクの定義 : 発生確率 & 事象の結果参照リスクの定義 : 丌確かさ初版発行リスクの定義 : 発生確率 & 事象の結果参照初版発行現在改定作業中参照リスクの定義 : 発生確率 & 事象の結果 ISO/IEC ISO/IEC は をサポートする規格でありながら, 用語の定義に現在不整合が生じている 初版発行 現在改定作業中 リスクの定義 : 発生確率 & 事象の結果 参照 参照 初版発行 改訂版発行 リスクの定義 : 発生確率 & 事象の結果 リスクの定義 : 丌確かさ 図 9 不整合の例 29

31 3 社会セキュリティマネジメント (SSM) の国際標準とリスクマネジメント - ISO DIS 22301, ISO FDIS 他

32 3. SSMの国際標準とリスクマネジメント (1) ISO DIS 22301( 策定中 ) ISO/DIS 22301:2010 Societal security-preparedness and continuity management systems-requirements 社会セキュリティ - 緊急事態準備及び事業継続マネジメントシステム - 要求事項 ( 仮訳 ) 2008 年から検討を開始し, 現在 ISO/TC223/WG4 にて開発中 (DIS) 2012 年に規格として発行予定 全ての組織を対象とし, 組織が BCM を導入し運用する際に実施すべき項目を要求事項として明示した認証規格 企業だけでなく, 公的機関, 非営利組織など全ての組織が対象 ( 原語のタイトルで Business Continuity の表現が使用されていない ) リスクマネジメントに関連する内容として, ビジネスインパクト分析とリスクアセスメントに関する記述がある マネジメントシステムのひとつとして,ISO/TMB/TAG13-JTCG の新 MSS 共通フォーマットへの適合を検討中 31

33 3. SSMの国際標準とリスクマネジメント (2) ISO DIS によるリスクの定義 ( 仮訳 ) 定義目的に対して丌確さが不える影響 effect of uncertainty on objectives. 注記 1 影響とは 期待されていることからのよい方向および / または悪い方向への偏差 注記 2 丌確かさは, 部分的であれ, 事象に関して情報が丌足している状態 事象の結果と起こりやすさの組合せは, リスクを特徴づけるために使用できる 注記 3 諸目標は 例えば財務 安全衛生 環境に関する到達目標など さまざまな側面を持ち得るものであり 戦略 組織全体 プロジェクト 製品 プロセスなどさまざまなレベルに適用できる 上記は,DIS の仮訳であり, 確定された内容でないことに留意 定義文, 及び注記 1 と注記 3 は ISO Guide 73:2009 が引用されている 注記 2 は, 独自に追加された項目 上の定義からリスクは純粋リスクに限定されない また事業継続に係る特定のリスク ( 事業継続リスク ) などの用語も定義されていない 32

34 3. SSMの国際標準とリスクマネジメント (3) のリスクマネジメントに関する記述内容 ( 概要 ) リスクマネジメントに関連する活動として, ビジネスインパクト分析 (Business Impact Analysis:BIA) 及びリスクアセスメントがある ビジネスインパクト分析は, 業務が止まった場合の影響を分析することで, 復旧する業務の優先度付けを行い, 必要なリソース配分, 目標復旧時間 (RTO) を決定する活動事業継続マネジメントの特徴的活動 リスクアセスメントは, 優先される業務の妨げとなりうるリスクを特定, 分析及び評価する活動 ISO 31000プロセスに沿った活動 リスクマネジメントのためのコミュニケーション, モニタリング及びレビュー, 並びにリスク対応についての独立した記述は無いが, 事業継続のためのマネジメントシステム全体として PDCA モデルを活用しているため, その中マネジメントサイクルに含める形で記述されている リスクマネジメント活動については,ISO のプロセスを参照 33

35 3. SSMの国際標準とリスクマネジメント (4) ISO DIS 22313( 策定中 ) ISO/DIS 22313:2010 Societal security-preparedness and continuity management systems-requirements 社会セキュリティ - 緊急事態準備及び事業継続マネジメントシステム - 要求事項 ( 仮訳 ) 2008 年から検討を開始し, 現在 ISO/TC223/WG4 にて開発中 (DIS) ISO を解説するガイドラン規格 34

36 3. SSMの国際標準とリスクマネジメント (5) ISO DIS ( 策定中 ) ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements 現在,ISO/TC223/WG3 にて改定作業中 (DIS) 危機管理に関する認証規格 リスクマネジメント自体についての記述は無いが, 特定されたリスクに対して実施すべき内容が記述されており, 組織におけるリスクマネジメントの実施を前提としているといえる 東日本大震災の発生に関連し,ISO の特別な許可により DIS 文書が次の日本規格協会 HP にて掲載中 35

37 参考 : 標準化 (ISO) 組織と規格の種類及び策定手順

38 参考 標準化組織 (ISO) (1) 役員 会長副会長 ( 政策 ) 副会長 ( 技術管理 ) 財務監事事務総長 政策開発委員会 PDC (Policy Development Committees) 適合性評価委員会 CASCO 消費者政策委員会 COPOLCO 発展途上国対策委員会 DEVCO 理事会常設委員会 (Council Standing Committees) 総会 GA (General Assembly) 年 1 回開催 理事会 20 カ国 Council 年 2 回開催 技術管理評議会 TMB (Technical Management Board) 戦略諮問グループ SAG 専門諮問グループ TAG 標準物質委員会 REMCO 理事会財政常設委員会 CSC/FIN 理事会戦略常設委員会 CSC/STRAT アドホックアドバイザリーグループ (Ad Hoc advisory groups) *2 国際電気標準会議 (International Electrotechnical Commission) ISO 中央事務局 CS(Central Secretariat) 153 名 (26 カ国から ) の職員で構成 専門委員会 (TC) 分科委員会 (SC) 作業グループ (WG) アドホックグループ (AHG) 編集委員会 IEC*2 合同専門委員会 (JTC) 分科委員会 (SC) 作業グループ (WG) 編集委員会 図 10 国際標準化機構 (ISO) の機構図 37

39 参考 標準化組織 (ISO) (2) ISO 総会 IEC テ ィヘ ンタ ヒ リティ TC56 ISO/IEC の開発 社会セキュリティ TC223 WG1: マネシ メントフレームワーク WG2: 用語 WG3: 指揮 命令及び協力 協調 WG4: 緊急事態準備と業務継続マネシ メント WG5: ヒ テ オサーヘ イランス WG3 において,ISO22320, WG4 において,ISO22301 を開発 PC262 ISO の開発 TMB リスクマネジメント WG ISO 開発及び ISO Guide73 改訂 合同技術調整グループ TAG13-JTCG マネジメント規格の共通構造, 用語等の開発 情報技術 JTC1 セキュリティ技術 SC27 WG1: 情報セキュリティマネシ メントシステム WG2: 暗号とセキュリティメカニス ム WG3: セキュリティ評価基準 WG4: セキュリティコントロールとサーヒ ス WG5: アイテ ンティティ管理とフ ライハ シー技術 WG1 において,ISO/IEC 27000,ISO/IEC 27001,ISO/IEC 等の開発及び改訂 図 11 本稿で紹介する規格の検討組織 38

40 参考 標準 (ISO) 規格の種類 規格の種類 国際規格 (International Standard, IS) 加入各国のコンセンサスのプロセスを経て開発された規定文書 技術仕様書 (Technical Specification, TS) IS の発行に関する合意が将来的には可能でも直ちには得られないという条件下で,TC 又は SC が NP 承認時点で CD の内容での発行を妥当と判断した場合に発行される文書 公開仕様書 (Publicly Available Specification, PAS) IS の完成に先立って発行される中間仕様書 規格としての要求事項は満たしていない 技術報告書 (Technical Report, TR) IS とは異なる種類の情報 ( 各会員団体で実施された調査データ, 他の国際機関の作業に関するデータ, 特定の主題に関する各会員団体の規格の現状調査データなど ) を収集した参考のための文書 ガイド (Guide) 政策開発委員会や技術管理評議会 (TMB) が設置した委員会などが作成する, 広い分野, テーマを扱うガイダンス文書 39

41 参考 標準 (ISO) 規格の策定手順 段階内容スケジュール 提案段階 新業務項目提案 NP の提案 NP の承認 NP 提案 NP 承認 作成段階 NP の登録 WD の CD 登録の承認 NP 登録 WD 承認 6 ヶ月以内 委員会段階 CD の登録 CD の DIS 登録の承認 CD 登録 CD 承認 12 ヶ月以内 照会段階 DIS の登録 DIS の FDIS 登録の承認 DIS 登録 DIS 承認 24 ヶ月以内 承認段階 FDIS の登録 FDIS の承認 FDIS 登録 FDIS 承認 30 ヶ月以内 発行段階 FDIS の登録 FDIS の承認 国際規格 (IS) 発行 図 12 ISO 規格の策定手順 36 ヶ月以内 NP:New work item proposal WD:Working Draft CD:Committee Draft DIS:Draft International Standard FDIS:Final Draft International Standard 40

42 参考文献 [1] ISO マネジメントシステム / リスクマネジメントの標準化, 日本規格協会, [2] リスクマネジメントに関する国際標準規格 ISO31000 の活用 (TRC EYE vol.266), 東京海上日動リスクコンサルティング株式会社, 指田朝久氏, [3] マネジメントシステム規格の整合化動向, 財団法人日本規格協会 ISO/TMB-JTCG 対応国内委員会事務局, [4] BCM リスク規格関連 / 国際規格, 財団法人日本規格協会 JSA Web Store, [5] ISO の機構図, 財団法人日本規格協会, [6] リスクマネジメントと事業継続マネジメントの標準化, 財団法人日本規格協会, [7] 国際標準化について, 日本工業標準調査会 (JISC), [8] ISO 暫定最終国際規格原案 (prefdis) 社会セキュリティ - 危機管理 - 危機対応に関する要求事項 (22320) 邦訳版, 財団法人 日本規格協会, [9] New ISO standard for effective management of risk,international Organization for Standardization (ISO), 41

43

44